TeamTNT kapert Server: Kriminelle Bande, die sich auf Angriffe auf Cloud-Umgebungen spezialisiert, ist zurück
Inhaltsverzeichnis:
Honeypot-Aktivitäten, die von einem der Cybersicherheitsanbieter entdeckt wurden, bestätigten, dass die Kryptojacking-Bande TeamTNT wieder auf Beutezug ist. Der Bedrohungsakteur wurde erstmals Anfang 2020 entdeckt und zielte auf Cloud-Umgebungen. Im Spätherbst 2021 jedoch twitterten die TeamTNT-Gegner eine Abschiedsnachricht, die wahr zu sein schien, da die Angriffe des letzten Jahres, die auf die Bande zurückgeführt wurden, automatisch generiert wurden.
Die neuesten Angriffe zeigen TTPs, die mit TeamTNT in Verbindung gebracht werden können, was darauf hindeutet, dass der Bedrohungsakteur wahrscheinlich wieder in der Bedrohungslandschaft aktiv ist.
TeamTNT-Aktivitäten erkennen
Nutze eine neue Sigma-basierte Veröffentlichung von Zaw Min Htun (ZETA) , um ein Botnetz zu erkennen, das von TeamTNT-Bedrohungsakteuren eingesetzt wurde:
Mögliche Erkennung von TeamTNTs Cronb-Angriff (via Datei-Ereignis)
Diese Erkennung bietet Übersetzungen für die folgenden SIEM-, EDR- und XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Snowflake, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro und AWS OpenSearch.
Die Regel ist mit dem MITRE ATT&CK® Rahmenwerk Version 10 abgestimmt und adressiert die Taktik des Ressourcenaufbaus mit der Kompromittierung von Infrastrukturen (T1584) als primäre Technik.
Da Bedrohungsakteure ihre Tricks kontinuierlich verbessern, bieten wir erprobte Lösungen zur Überwachung potenzieller Risiken kostenlos an. Bedrohungsjäger, Detection-Ingenieure und andere InfoSec-Praktiker, die darauf abzielen, die Cybersicherheit ihrer Organisation zu verbessern, können sich auf der Plattform von SOC Prime anschließen und auf einen umfassenden Detection-Stack zugreifen, um TeamTNT-Angriffe schnell zu erkennen. Klicken Sie auf die Entdecken Sie Erkennungen -Taste, um Zugang zum speziellen Regelkit zu erhalten.
Analyse der TeamTNT-Angriffe
Sicherheitsforscher von Aqua Security sind verantwortlich für die Honeypots, die die fraglichen Gegner angelockt haben. Die Forscher haben die Einbruchsversuche dokumentiert und sie im September 2022 der Gruppe TeamTNT zugeordnet, was eine Erneuerung der TeamTNT-Aktivitäten bedeutet. Dies ist die erste Operation seit fast einem Jahr, seit die Kryptominer-Bande im Spätherbst 2021 den Betrieb eingestellt hat.
Aqua Security hat drei Arten der jüngsten Angriffe entdeckt. Der als „Kangaroo-Angriff“ bezeichnete ist der „einfachste und dramatischste“ der Bande. Gegner attackieren verwundbare Docker Daemons, lassen das AlpineOS-Image fallen, laden ein Shell-Script herunter und erhalten den Bitcoin-Löser. Zwei weitere Angriffstypen, als „Cronb“ und „What Will Be“ bezeichnet, wurden gestartet, um Kryptowährungs-Miner und Tsunami-Binärdateien zu deployen.
Das Jahr 2022 wurde für Sicherheitsprofis zu einer herausfordernden Zeit, da viele Bedrohungsakteure mit neuen und verbesserten Funktionen wieder auftauchten, aber auf bewährte Ansätze vertrauten. Erhöhen Sie Ihre Cybersecurity-Bereitschaft, indem Sie die Kraft der kollaborativen Verteidigung nutzen, indem Sie unserer globalen Cybersicherheits-Community bei SOC Primes Detection as Code Plattform beitreten. Profitieren Sie von genauen und rechtzeitigen Erkennungen erfahrener Fachleute aus der ganzen Welt, um die Arbeitsabläufe Ihres SOC-Teams und das Sicherheitsniveau zu verbessern.
